私が被写体に見つけることができた唯一のものは、1997 (http://insecure.org/sploits/microsoft.asp.iis.html)からの投稿だったので、私はここで誰かがこのトピックに、より最近の知識を持っているかもしれません期待していた:いずれかが存在する場合IIS 6が未処理のASP/ASPXページを処理することは可能ですか?
誰もが知っていますIIS6の既知の脆弱性により、ユーザーが未処理のASPまたはASPXページをサーバーの制御権を得ること以外で閲覧できるようになりましたか?
IISは、その拡張機能がサイトのアプリケーションマッピングから削除された場合、またはそのように構成するために他の何らかの方法を行った場合にのみ、raw aspまたはaspxを提供します。
なぜ未処理のASPページが必要ですか?あなたは、ページをエスケープし、ユーザーのためのウェブページに入れるリンクを持つことができます。
私にはセキュリティ上の脆弱性があります。忘れてセキュリティ上の脆弱性が残っていると、それは見られるでしょう。
未処理のASPページは必要ありません。ユーザーが気付いていないことをユーザーが確認する方法がないことを確認する – John
スクリプトマッピングが正しく設定されていない場合、これは問題になる可能性がありますが、それは実行時の問題ではなく、配備時の問題です。
私はこの分野の他の脆弱性は、アプリ関連(サーバー側をダウンロードするファイルを選んで...)であり、あまりプラットフォームに関連していないと思います。
あなたのソースコードを見ることができるのではないかと心配していますか?そうであれば、特に.netとファイルの背後にあるコードと、正しくアーキテクチャされたn層のサイトを使用すると、あまり心配する必要はありません。
これは懸念事項であり、ページにエラーがあり、クラシックASPを使用していてもデバッグコードが吐き出された場合のみです。
サーバーからファイルを削除せずに、IISでファイル拡張子のマッピングを削除できます。しかし、なぜあなたがこれをしたいと思うのかは明らかではありません。 – TheAlbear
正確:それはかなりばかだと思います。彼らはそれを愚かな証拠にすることができますが、もちろん誰かがより良いばかをするでしょう。 –